Алекс Экслер - Омерт@. Учебник по информационной безопасности для больших боссов
Всевозможная деловая информация, раскрытие или потеря которой может создавать Серьёзные Проблемы.
Что с этой информацией может произойти?
Несанкционированный доступ
То есть доступ к этим данным получит некто, кому эта информация не предназначена. При этом некто может быть: случайный доброжелатель, случайный недоброжелатель, неслучайный недоброжелатель. Все три случая вроде разные, однако привести могут к одному и тому же, потому что случайный доброжелатель может распространить информацию, и она попадет к неслучайному недоброжелателю… Нет, я ничего не пил. Просто пытаюсь систематизировать накопленные знания. Не волнуйся, чуть позже я это все объясню на живописных примерах – станет понятнее.
Несанкционированное изменение данных
Кто-то получил доступ к информации и изменил её. Искажение информации может привести к самым разнообразным последствиям. От потери каких-то данных, до неправильной интерпретации. Например, в контракте записано сто тысяч рублей, а их изменили на сто тысяч долларов. Пустячок вроде, а неприятно.
Потеря данных
Тут все понятно. Были данные – и сплыли. Нету. Беда серьёзная, потому что данные могут быть уникальными и невосстановимыми. Нас при этом может интересовать три вопроса. Во-первых, куда именно эти данные сплыли. Потому что просто потерять – ещё полбеды, а вот если этими данными воспользуются враги – бедовость беды увеличится на порядок. Во-вторых, каким образом эту информацию можно восстановить. И в-третьих, каким образом этого можно было избежать.
Таким образом, вопрос защиты информации, грубо говоря, разбивается на следующие разделы:
Ограничение доступа к информации
К этому относится: парольная защита на различных уровнях (доступ в помещение, доступ к компьютеру, разделам диска, папкам, файлам), разделение прав доступа в локальной сети, физическая защита помещения.
Сохранение информации
Мало создать – нужно сохранить. Далеко не всегда врагами твоей информации выступают конкретные люди (конкуренты, партнеры по бизнесу, жена, брошенная любовница). Это может быть самое обычное электричество, которое иногда имеет обыкновение заканчиваться в проводах так же, как и вода в кране. Кто виноват и что с ним делать? Это далеко не первый вопрос, который нужно решать. Сначала нужно сделать так, чтобы эти скачки электричества тебя не волновали. Или хотя бы не волновали твою информацию. Способы есть, не волнуйся, расскажу… Сюда же относятся многочисленные виды создания архивных копий (бэкапирование).
Противодействие атакам
Как и в бизнесе, если не будешь предпринимать активные меры защиты от конкурентов – тебя сожрут. Впрочем, в бизнесе также бытует мнение о том, что лучшая защита – это нападение, но в сфере информационной безопасности, как правило, самому нападать не приходится. А вот защищаться – сколько угодно. И здесь все средства хороши: от выстраивания Большой китайской стены в виде файрвола (нет, речь здесь идет не о пожарозащитном кожухе, а об одной довольно специфической программе) до использования специальных программно-аппаратных средств.
Вот, пожалуй, и вся основная классификация. Конечно, она весьма условна, а кроме того, определённые защитные меры могут относиться как к одному, так и к другому разделу, но нам в данном случае важно было задать общее направление, чтобы было куда двигаться, а с частностями разберемся в процессе. На привалах. Или, как говорят в вашем Парламенте, «решим в рабочем порядке».
Так что вперёд, навстречу новой, информационно-защищённой жизни…
Ограничение доступа к информации
Ограничение (разделение) доступа – одно из важнейших средств защиты информации. Отличается ли чем-то разделение от ограничения и что это, вообще говоря такое… Скажем так, полное закрытие доступа к информации – это частный (крайний) случай ограничения. Другой частный (крайний) случай – открытие полного доступа. Между ними – полностью закрытый доступ и полностью открытый – как раз и простираются владения ограниченного доступа. Разделение доступа – это когда есть идентификация пользователей, и система знает, кого куда пускать, а куда не пускать.
Пример. У тебя есть личная записная книжка, куда ты заносишь всевозможные дела и задачи. Записи, касающиеся посещения любовницы и туда-сюда культурных мероприятий с ней – никак не должны попасть на глаза жене, потому что… впрочем, ты и сам прекрасно понимаешь, чем это чревато. Записи о том, какие подарки ты намерен в ближайшее время сделать жене, - не должны попасть на глаза любовнице, потому что она тут же начнет требовать такие же, пупсик, но намного лучше, пупсик, ведь ты любишь свою лапуську (козочку, кошечку. девочку, ангелочка, лапатуську, масика, кастрюльку, милашку, дурындочку). Таким образом, от тебя и требуется произвести то самое разделение доступа к информации в зависимости от типа пользователя.
В случае с обычной записной книжкой – это нереально. Однако в том случае, если ты свою информацию доверяешь высоконадёжным (в умелых руках) электронным устройствам, - вот они как раз и сумеют обеспечить то самое разделение доступа. Логин «жена», пароль «***» - пожалуйста, расписание семейных мероприятий, редких эпизодов посещения тети Клавы с дядей Борей и планирование похода в зоопарк с детьми-двоечниками. Логин «любовница», пароль «***» - просим вас изучить schedule (даже и не хочется переводить на русский это божественное, но совершенно непроизносимое слово) визитов в рестораны, ночные клубы и увеселительные мероприятия для очень взрослых.
Что? Ты считаешь, что твоя записная книжка – это нечто настолько интимное, что её нельзя показывать даже собственному главному бухгалтеру? Окей, не спорю, все правильно, я просто пытался на доступных примерах растолковать тебе, что же такое разделение доступа. Потому что книжку-то мы вообще закроем от посторонних глаз, как скажешь! Но твой рабочий планировщик, который должен быть открыт секретарю-референту? Офисные документы, к которым по роду службы должен быть доступ десятков, если не сотен людей? Вот тут вопрос грамотного разделения доступа встает во всей красе.
Но давай танцевать от печки, то есть от паролей…
Пароли
«Пароль, как много в этом слове!» - говорил кто-то из поэтов, и он совершенно прав, потому что если отбросить в сторону поэтическую составляющую, главным здесь становится термин «много»! Много чего? Много символов. Как можно более трудно вычисляемых.
Пароль – одно из самых простейших, но наиболее часто используемых средств ограничения (закрытия) доступа. В умелых руках он превращается в почти непреодолимое препятствие, однако при неправильном использовании (точнее, неправильном задании) пароль можно сравнить с бумажной дверкой, долженствующей преградить путь доступа в Федеральный резервный банк.
Как много тех ребят хохотало над вашим шпионом Штирлицем, который шел по Берлину, забыв отстегнуть парашют! А потом эти смешливые парни задавали пароли, состоящие из слова «пароль» или «123», чтобы закрыть сверхсекретные разделы жёстких дисков, и не понимали, что они-то как раз выглядят еще большими кретинами!
Поэтому к паролю нужно отнестись со всей серьёзностью. Не нужно рассчитывать, что твой документ или раздел диска будет пытаться открывать полный идиот. От идиотов будет достаточно надписи: «Кто сопрёт – зарежется». Вскрывать же твои секретные данные, я тебя уверяю, будет вовсе не придурок! И он сразу догадается перебрать слова: «пароль», «123456», имя твоей жены, любовницы, твою дату рождения, дату рождения жены и любовницы. Ты не представляешь, в каком фантастически высоком проценте случаев эти данные подходят с первого раза! Обгоняют его только «пустые» пароли – когда Серьёзный Парень в ответ на требование задать пароль просто нажимает клавишу Enter. В русском языке есть такое интересное, хотя и устаревшее выражение – ничтоже сумняшеся. Я точно не знаю, что оно обозначает, но надеюсь, что нечто мерзкое, так что эти парни, просто нажимая Enter при задании пароля, сумняшатся совершенно ничтоже. Ничтожества они после этого, вот что они такое!